截至2023年6月12日,英國獨立監管機構資訊專員辦公室(ICO)已在2023年對英國企業實施了31項執法行動。其中包括7項罰款、15項譴責、7項執法通知和2項起訴。今年迄今為止的罰款總額為13,460,000英鎊,並且不僅限於大企業受到執法行動的影響。
ICO對執法的方式是什麼?
近年來,ICO在執法方面採取了更加積極主動的態度。截至2022年10月的12個月內,ICO創下了共處罰金額達1520萬英鎊的紀錄。ICO表示將繼續對數據保護違規採取嚴厲立場,對違法企業不會猶豫並處以罰款。
ICO的執法行動提醒所有企業,它們必須遵守數據保護法律。不遵守法律的企業可能面臨包括巨額罰款在內的執法行動。
ICO的執法行動涵蓋哪些方面?
ICO的執法行動涵蓋了廣泛的數據保護違規行為,包括但不限於以下方面:
- 在收集個人數據之前未能獲得(必要時)同意
- 未能保護個人數據的安全性
- 未能僅將個人數據用於收集目的
- 在不再需要時未能刪除個人數據
ICO 可以實施哪些制裁措施?
ICO針對違反數據保護規定的企業可以實施的制裁措施包括:
罰款:ICO可以對違反數據保護法律的企業處以高達1750萬英鎊或其全球營業額的4%中較高者的罰款。
執法通知:ICO可以發佈執法通知,要求企業採取某些措施以遵守法律。
公開譴責:ICO可以在其網站上發佈聲明,公開點名批評違法的企業。
起訴:在嚴重案件中,ICO可以對違反數據保護規定的企業進行起訴。
最近有哪些ICO 大額罰款事件?
以下是ICO最近實施的四項大額罰款案例:
- 2023年4月,TikTok Information Technologies UK Limited和TikTok Inc.(TikTok)因多項違規行為,包括濫用兒童數據,被罰款1270萬英鎊。
- 2022年10月,Interserve Group Limited因數據安全漏洞被罰款440萬英鎊,導致多達113,000名員工的個人數據受到損害。
- 同樣是在2022年10月,目錄零售商Easylife Limited因未能合法、公正、透明地處理個人數據而被罰款135萬英鎊。
- 2022年5月,Clearview AI Inc.因未經個人同意從互聯網上收集和存儲人們的圖像而被罰款755.28萬英鎊。
數據保護監管機構只針對大企業嗎?
有時,大企業的數據洩露會成為頭條新聞,特別是在處以巨額罰款時。愛爾蘭數據保護委員會最近對Meta Platforms Ireland Limited(Meta IE,即Facebook)處以12億歐元(約10億英鎊)的罰款,原因是違反了歐盟的數據隱私規定。
然而,ICO最近對各個規模的英國企業採取了數據保護法違規的執法行動。ICO明確表示,規模較小的企業並不豁免於罰款和制裁。
ICO對規模較小的英國企業採取了哪些執法行動?
2023年6月,ICO對Maxen Power Supply Ltd罰款12萬英鎊,原因是向電話偏好服務(TPS)註冊表上的人發送了未經請求的電話。 TPS是一個註冊表,其中包含明確註冊不接收銷售推銷電話的個人資訊。 該企業曾銷售能源產品,並撥打了超過50萬次電話給明確要求不接觸的人。
在2023年4月,招聘網站運營商Join the Triboo Limited因向個人發送未經有效同意的行銷郵件被罰款13萬英鎊。
今年5月,Ice Telecommunications Limited因向註冊了企業電話偏好服務(CTPS)和TPS的企業發送未經請求的商業電話被罰款8萬英鎊。
英國企業應採取哪些措施以符合英國的GDPR?
英國的GDPR與歐洲其他地區的GDPR基本類似,英國企業要遵守GDPR的一些基本措施包括:
- 指定資料保護官(DPO)或將數據保護責任分配給負責人。
- 進行數據保護影響評估(DPIA)。
- 僅收集為實現收集目的所必需的個人數據。
- 保持個人數據準確和更新。
- 安全存儲個人數據。
- 在不再需要時刪除個人數據。
- 向ICO報告數據洩露事件。
3CS如何提供幫助
我們可以通過進行年度合規性檢查來幫助您。這是一種評估您的數據保護合規性、確定風險領域的有效方法。它類似於全面的數據保護合規性審查,但是更具成本效益,可以更靈活地進行。
如需有關合規性檢查或任何數據保護事項的進一步幫助和建議,請聯繫您通常聯繫的3CS聯繫人。
